DragonForce ist eine seit mindestens 2023 aktive Ransomware-Operation, die laut Quelltext ein kartellartiges Organisationsmodell übernommen hat und mit der berüchtigten Gruppe Scattered Spider in Verbindung gebracht wurde. Symantec zufolge setzten die Angreifer bei einer Attacke auf ein großes US-Dienstleistungsunternehmen eine eigens entwickelte, in Go geschriebene Backdoor ein.

Im Zentrum steht der Missbrauch des Protokolls „Traversal Using Relays around NAT“ (TURN), das Microsoft Teams verwendet, wenn ein Client nicht direkt erreichbar ist, etwa in privaten Netzwerken. Backdoor.Turn beschafft sich einen anonymen Teams-Besucher-Token, verwendet beim Aufbau der Verbindung einen legitimen Microsoft-TURN-Relay-Server und stellt anschließend die Verbindung zum Command-and-Control-Server der Angreifer her. Das Ergebnis: Sicherheitsverantwortliche sehen lediglich Verkehr, der der Microsoft-Teams-Infrastruktur zugeordnet ist.

Symantec nennt Backdoor.Turn „die erste bekannte Malware, die Microsoft-Teams-TURN-Relay-Server missbraucht, um Command-and-Control-Verkehr zu maskieren“. Im vergangenen Jahr hatte Praetorian mit der Technik „Ghost Calls“ gezeigt, dass sich temporäre TURN-Zugangsdaten für Teams und Zoom kapern lassen, um unauffällige Kommunikationstunnel durch vertrauenswürdige Konferenz-Infrastrukturen aufzubauen. Während Ghost Calls das Konzept demonstrierte, ist Backdoor.Turn laut Quelltext die erste bekannte Schadsoftware, die Teams-TURN-Relays in freier Wildbahn auf diese Weise ausnutzt.

Der von Symantec beobachtete Angriff begann im Dezember 2025 wahrscheinlich mit der Ausnutzung einer unbekannten Schwachstelle in einem SQL- oder MSSQL-Server. Nachdem sich die Angreifer festgesetzt hatten, luden sie ein ZIP-Archiv mit einer legitimen VirtualBox-/DbgView-Datei und einer schädlichen DLL herunter, die für DLL-Sideloading verwendet wurde. Anschließend bauten sie ihre Persistenz aus, legten betrügerische Benutzerkonten an, missbrauchten die Windows-Sicherheitsrichtlinie LimitBlankPassword für einen einfacheren Zugriff und änderten Firewall-Regeln.

Danach kamen mehrere Bring-Your-Own-Vulnerable-Driver-Techniken zum Einsatz. Laut Symantec nutzten die Angreifer unter anderem Huaweis Treiber HWAuidoOs2Ec.sys, den Treiber wsftprm.sys von Topaz Antifraud (CVE-2023-52271), GameDriverx64.sys von Tower of Fantasy (CVE-2025-61155) und K7RKScan.sys von K7 Security (CVE-2025-1055). Ziel war es, Kernel-Rechte zu erlangen und Sicherheitswerkzeuge auf dem kompromittierten System zu beenden. Zusätzlich setzten die Angreifer ABYSSWORKER ein, einen maßgeschneiderten bösartigen Treiber, der sich als legitimer Treiber von Palo Alto ausgab. Symantec hebt zudem die Ausnutzung von Huaweis HWAuidoOs2Ec.sys hervor, die zur Umgehung von Schutzmechanismen in BYOVD-Szenarien als „Havoc Process Terminator“ verwendet wird.

Die Remote-Access-Trojaner-Komponente Backdoor.Turn wurde nach dem Ausbringen der Ransomware in „DbgView64.exe“ injiziert. Das deutet laut Quelltext darauf hin, dass sie für Persistenz oder einen späteren Zugriff gedacht gewesen sein könnte. Zu ihren Fähigkeiten gehören die Ausführung von Befehlen, das Starten von Prozessen, Netzwerkscans, das Abgreifen von TLS-Zertifikaten, die Suche in LDAP und Active Directory, das Sammeln von Website-Titeln sowie der Diebstahl von Browser-Zugangsdaten.

Nach Aufklärung und Umgehung der Abwehrmaßnahmen exfiltrierten die Angreifer sämtliche Daten, setzten DragonForce-Ransomware ein und verschlüsselten die Systeme des Opfers. Symantec spricht von „außergewöhnlich ausgefeilter operativer Vorgehensweise“ der hinter dieser Kampagne stehenden Angreifer und hat eine vollständige Liste von Kompromittierungsindikatoren veröffentlicht, um Erkennung und Abwehr zu unterstützen.